ＩＣＳ ３５．０４０ Ｌ ８０ ａ园 中华人民共和国国家标准 ＧＢ／Ｔ ２５０５６－－２０ １ ０ 信息安全技术 证书认证系统 密码及其相关安全技术规范 Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｔｅｃｈｎｉｑｕｅｓ－－Ｓｐｅｃｉｆｉｃａｔｉｏｎｓ ｏｆ ｃｒｙｐｔｏｇｒａｐｈ ａｎｄ ｒｅｌａｔｅｄ ｓｅｃｕｒｉｔｙ ｔｅｃｈｎｏｌｏｇｙ ｆｏｒ ｃｅｒｔｉｆｉｃａｔｅ ａｕｔｈｅｎｔｉｃａｔｉｏｎ ｓｙｓｔｅｍ ２０１０－０９—０２发布 ２０１卜０２－０１实施 宰瞀鹊鬻黼警矬瞥星发布 中国国家标准化管理委员会促１９ ＧＢ／Ｉ＂２５０５６—２０１０ 目 次 前言…………’……………………’ １范围…………………………’’’ ２规范性引用文件……………… ３术哥和定冀…………………… ４缩略语……………・…………‘‘ Ｖ●●●０ ５证书认证系统………………… ０ ５．１概述…………………’……。。 ｏ ５．２功能描述…………………… ｏ ５．３系统设计…………………… ０ ５．４数字证书………・…………‘’ ０ ５．５证书撤销列表……………… ０ ６密钥管理中心………………… ｏ ６．１结构描述…………………… ６．２功能描述……………………’ ６．３系统设计……………………・ ６．４ ＫＭＣ与ＣＡ的安全通信协议 ７密码算法、密码设备及接口…・ ７．１ 密码算法……………………。 ７．２ 密码漫备・…………………… ７．３密码服务接口……・………… ８协议………－－・…………………・ ８．１证书管理协议………………・ ８．２证书验证协议………………・ ８．３安全通信协议……………・・－・ ９证书认证中心建设…・………… ９．１ 系统…………………………・ ９．２安全……………………－－・…・ ９．３数据备份……………………・ ９．４可靠性…・・……－・…………一 ９．５物理安全……………………・ ９～人事管理制度………・……・・・ １０密钥管理中心建设…………・ ｌＯ．１建设原则…………………－ 】０．２系统……・………・………一 １０．３安全………………………・ １０．４数据备份…………・……… １０．５可靠性………・……－－……・ ｌｏ．６物理安全…………………・ ●孔龃趴虬加∞均玛¨”坫 地心挖加ｏ ＧＢ／Ｔ ２５０５６－－２０１０ １０．７人事管理制度………………・・…………・・・…… １１证书认证中心运行管理要求………・……………・ 儿．１人员管理要求……………－・・…………………一 １１．２ ＣＡ业务运行管理要求………………………・・ １１．３密钥分管要求………・……………－－…………・・ １１．４安全管理要求…………………………………一 １１．５安全审计要求…………………………………・・ 儿．６文档配备要求…………………………………・ １２密钥管理中心运行管理要求………………－・…… １２．１人员管理要求…………………………………・－ １２．２运行管理要求…………………………………．． １２．３密钥分管要求…………………………………・・ １ ２．４安全管理要求…………………………………・・ １２．５安全审计要求…………………………………・・ １２．６文档配备要求………・…………－…・………・…・ １ ３检测…………………………・……………………・ １ ３．１概述………………・……………………………・ １３．２系统初始化……………………………………・・ １３．３用户注册管理系统……………………………－－ １３．４证书／证书撤销列表生成与签发系统・・・………一 １３．５证Ｂ／证书撤销列表存储与发布系统…………・－ １３．６证书状态查询系统……………………………・・ １３．７安全审计系统…・・・……………………・………・ １ ３．８密钥管理中心检测…・…………－……………… １ ３．９系统安全性检测…………・……………………・ １３．１０其他安全产品和系统……－－…………－………一 附录Ａ（资料性附录）ＫＭＣ与ＣＡ之间的消息格式 Ａ．１ 概述…………………………………・・・………－ Ａ．２协议………………………………………－・…… 附录Ｂ（资料性附录）安全通信协议………………・・ Ｂ．１符号说明………………………………………・・ Ｂ．２身份鉴别・・………………………………・……・・ Ｂ．３密钥交换……………・…………………………－ Ｂ．４安全通信协议…………………………………・・ 附录Ｃ（资料性附录） 密码设备接口函数定义及说明 ｃ．１应用类密码设备接口函数……………………・・ ｃ．２证书载体接口函数…………・・………………… 附录Ｄ（资料性附录） Ｄ．１ 证书认证系统网络结构图…－・ 当ＲＡ采用Ｃ／Ｓ模式时ＣＡ的网络结构……－・ Ｄ．２当ＲＡ采用Ｂ／Ｓ模式时ＣＡ的网络结构……－－ Ｄ．３ ＣＡ与远程ＲＡ的连接……・……………・……… Ｄ．４ ＫＭＣ与多个（：Ａ的网络连接……・・・…………・・ 参考文献……－・・………………………………………・・ ¨ ｎ毖拉船孙弘肌拍舫踮撕 孙幽坜踮弱盯 所嬲孙朋曲约∞弘 卯∞弘＂¨化弛他Ｍ ＧＢ／Ｔ ２５０５６—２０ １ ０ 吲１证书认证系统逻辑结构－－－……………………・・ ４ 图２用户注册管理系统逻辑结构………・………・・ ６ 图３密钥管理中心逻辑结构－－－…………………… １ ０ 图Ｄ．１ ＲＡ采用Ｃ／Ｓ模式时ＣＡ的网络结构示意图 ７ｌ 图Ｄ．２ ＲＡ采用Ｂ／Ｓ模式时ＣＡ的网络结构示意图 ７２ 图Ｄ．３ ＣＡ与远程ＲＡ的连接示意图…・………一 ７２ 图Ｉ）．４ ＫＭＣ与多个ＣＡ的网络连接示意图……… ７３ Ⅲ ＧＢ／Ｔ ２５０５６－－２０ 前 １ ０ 言 本标准附录Ａ、附录Ｂ、附录Ｃ、附录Ｄ均为资料性附录。 本标准由国家密码管理局提出。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ ２６０）归口。 本标准主要起草单位：长春吉大正元信息技术股份有限公司、国家密码管理局商用密码研究中心、 国家信息安全工程技术研究中心。 本标准相关参与起草单位：无锡江南信息安全工程技术中心、Ｅ海格尔软件股份有限公司、北京信 安世纪科技有限公司、济南得安计算机技术有限公司、北京创原天地科技有限公司、卫士通信息产业股 份有限公司、天津市国瑞数码安全系统有限公司、兴唐通信科技股份有限公司、中国科学院数据与通信 保护研究教育中心、北京格方网络技术有限公司、北京天融信科技有限公司、维豪信息技术有限公司等。 本标准主要起草人：邱泽军、王永传、何立波、谢永泉、姜玉琳、刘海龙、邓开勇、罗鹏、田景成、赵丹、 张文建、李大为。 袁文恭、刘平，何良生、邱钢，陈连俊等专家指导了本标准的起草。 Ｖ ＧＢ／Ｔ ２５０５６－－２０ １ ０ 信息安全技术证书认证系统 密码及其相关安全技术规范 １范围 本标准规定了为公众服务的数字证书认证系统的设计、建设、检测、运行及管理规范。本标准为实 现数字证梧认证系统的互连互通和交叉认证提供统一的依据，指导第三方证书认证机构的数字证书认 证系统的建设和检测评估，规范数字证书认证系统中密码及相关安全技术的应用。 本标准适用于第三方证书认证机构的数字证书认证系统的设计、建设、检测、运行及管理。非第二ｊ＝ 方证书认证机构的数字证书认证系统的建设、运行及管理，可参照本标准。 ２规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 电子计算机场地通用规范 ＧＢ／Ｔ ２８８７ ２０００ ＧＢ／Ｔ ９３６１ １９８８计算机场地安全要求 ＧＢ／Ｔ ２０５１８ ２００６信息安全技术公钥基础设施数字证书格式 ２００８电子信息系统机房设计规范 ＧＢ ５０１７４ ＳＪ／Ｔ １０７９６ １９９６计算机机房用活动地板技术条件 ３术语和定义 下列术语和定义适用于本标准。 ３．１ 认证机构证书ａｕｔｈｏｒｉｔｙ ｃｅｒｔｉｆｉｃａｔｅ 签发给证书认证机构的证书。 ３．２ ＣＡ证书 ＣＡ ｃｅｒｔｉｆｉｃａｔｅ 由一个ＣＡ给另一个ＣＡ签发的证书，一个ＣＡ也可以为自己签发证书，这是一种自签名的证书。 ３．３ 证书认证系统ｃｅｒｔｉｆｉｃａｔｅ ａｕｔｈｅｎｔｉｃａｔｉｏｎ ｓｙｓｔｅｍ 对生命周期内的数字证书进行全过程管理的安全系统。 ３．４ 证书策略ｃｅｒｔｉｆｉｃａｔｅ ｐｏｌｉｃｙ 是一个指定的规则集合，它指出证书对于具有普通安全需求的一个特定团体和（或）具体应用类的 适用性。例如，一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子 数据处理的认证的适用性。 ３．５ 证书撤销列表ｃｅｒｔｉｆｉｃａｔｅ ｒｅｖｏｃａｔｉｏｎ ｌｉｓｔ；ＣＲＬ 标记一系列不再被证书发布者所信任的证书的签名列表。 ＧＢ／Ｔ ２５０５６－－２０ １ ０ ３．６ 证书验证ｃｅｒｔｉｆｉｃａｔｅ ｖａｌｉｄａｔｉｏｎ 确定证书在指定的时间内是否有效的过程。证书验证包括有效期验证、签名验证以及证书状态的 检验。 ３．７ 证书认证机构ｃｅｒｔｉｆｉｃａｔｅ ａｕｔｈｏｒｉｔｙ；ＣＡ 又称为认证中心或ＣＡ，它是被用户所信任的签发公钥证书及证书撤销列表的管理机构。 ３．８ ＣＡ注销列表ｃｅｒｔｉｆｉｃａｔｅ ａｕｔｈｏｒｉｔｙ ｒｅｖｏｃａｔｉｏｎ ｌｉｓｔ；ＡＲＬ 标记已经被注销的ＣＡ的公钥证书的列表，表示这些证书已经无效。 ３．９ 证书认证路径ｃｅｒｔｉｆｉｃａｔｉｏｎ ｐａｔｈ 在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥，可以通 过路径获得最终的顶点的公钥。 ３．１０ 证书撤销列表分布点ｃｅｒｔｉｆｉｃａｔｅ ｒｅｖｏｃａｔｉｏｎ ｌｉｓｔ ｄｉｓｔｒｉｂｕｔｉｏｎ ｐｏｉｎｔ 一个目录条目或其他的证书撤销列表分布源，一个通过证书撤销列表分布点发布的证书撤销列表， 可以包括由一个ＣＡ发布的所有证书中的一个证书子集的注销条目．也可以包括全部证书的注销条口。 ３．１１ 增量证书撤销列衰ｄｃｌｔａ－ＣＲＬ；ｄＣＲＬ 是一个部分的证书撤销列表，它只包括那些在基础证书撤销列表确认后注销状态改变的证书的 条目。 ３．１２ 证书序列号ｃｅｒｔｉｆｉｃａｔｅ ｓｅｒｉａｌ ｎｕｍｂｅｒ